33
Pi-Hole und zusätzlich freier nicht protokollierter DNS
Hallo Zusammen,
ich bin heute über Pi-Hole und über unzensierte und freie DNS gestolpert.
Was haltet ihr von unzensierten und freien DNS?
Zudem bin ich sehr angetan von Pi-Hole. Da bei mir Zuhause sowieso ein Raspi immer läuft, könnte ich dem auch noch die Aufgabe geben.
Allerdings bin ich noch nicht wirklich Fit in Sachen Netzwerk und habe da etwas Problem das ganze zu verstehen.
Wie verhalten sich die Datenpakete innerhalb dem Netzwerk?
Momentan ist es so, dass meine Fritzbox DNS und zugleich Internetzugang ist. Sobald eine Anfrage gestellt wird (zb. www.administrator.de), geht es zur Fritzbox von dort aus wird die DNS Anfrage
gesendet und über die Fritzbox wieder zurück zum PC. Dann wird die eigentliche Anfrage ans Internet gestellt mit der IP Adresse die der DNS zurückmeldet.
Hier habe ich schon mal die erste Frage: "Merkt" sich der PC die IP Adresse, wenn ich eine Internetseite verlasse und nochmals aufrufe, oder muss wirklich jedes mal der DNS "befragt" werden?
Wenn jetzt allerdings noch ein Geräte dazwischen hängt, quasi Pi-Hole, muss dieser die Anfrage zusätzlich bearbeiten.
Zudem muss in der Fritzbox ein lokaler DNS eingetragen werden. Da bei mir ein bestehendes Netzwerk besteht, will ich nicht bei allen Clients den DNS ändern.
Hier erhöhe ich doch meinen Traffic im Netzwerk oder denke ich zu kompliziert? Die Anfrage (www.administrator.de) geht zur Fritzbox, diese schickt die Anfrage
zum lokalen DNS. Pi-Hole (lokaler DNS) schickt die Anfrage ins Internet (wieder über die Fritzbox) und bekommt die IP zurück (Fritzbox schickt die IP zum lokalen DNS).
Dann muss Pi-Hole wieder an die Fritzbox die IP schicken, damit dieser es im Netzwerk an den richtigen Client schickt.
Erhöhe ich mir hier auch wenn es sich im Millisekunden bereich abspielt, nicht den Traffic im Netzwerk?
Danke
ich bin heute über Pi-Hole und über unzensierte und freie DNS gestolpert.
Was haltet ihr von unzensierten und freien DNS?
Zudem bin ich sehr angetan von Pi-Hole. Da bei mir Zuhause sowieso ein Raspi immer läuft, könnte ich dem auch noch die Aufgabe geben.
Allerdings bin ich noch nicht wirklich Fit in Sachen Netzwerk und habe da etwas Problem das ganze zu verstehen.
Wie verhalten sich die Datenpakete innerhalb dem Netzwerk?
Momentan ist es so, dass meine Fritzbox DNS und zugleich Internetzugang ist. Sobald eine Anfrage gestellt wird (zb. www.administrator.de), geht es zur Fritzbox von dort aus wird die DNS Anfrage
gesendet und über die Fritzbox wieder zurück zum PC. Dann wird die eigentliche Anfrage ans Internet gestellt mit der IP Adresse die der DNS zurückmeldet.
Hier habe ich schon mal die erste Frage: "Merkt" sich der PC die IP Adresse, wenn ich eine Internetseite verlasse und nochmals aufrufe, oder muss wirklich jedes mal der DNS "befragt" werden?
Wenn jetzt allerdings noch ein Geräte dazwischen hängt, quasi Pi-Hole, muss dieser die Anfrage zusätzlich bearbeiten.
Zudem muss in der Fritzbox ein lokaler DNS eingetragen werden. Da bei mir ein bestehendes Netzwerk besteht, will ich nicht bei allen Clients den DNS ändern.
Hier erhöhe ich doch meinen Traffic im Netzwerk oder denke ich zu kompliziert? Die Anfrage (www.administrator.de) geht zur Fritzbox, diese schickt die Anfrage
zum lokalen DNS. Pi-Hole (lokaler DNS) schickt die Anfrage ins Internet (wieder über die Fritzbox) und bekommt die IP zurück (Fritzbox schickt die IP zum lokalen DNS).
Dann muss Pi-Hole wieder an die Fritzbox die IP schicken, damit dieser es im Netzwerk an den richtigen Client schickt.
Erhöhe ich mir hier auch wenn es sich im Millisekunden bereich abspielt, nicht den Traffic im Netzwerk?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 367199
Url: https://administrator.de/contentid/367199
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
33 Kommentare
Neuester Kommentar
Hi
Was bedeutet schon frei? Der grösste unterscheid ist die Datensammlung der Anbieter. Die DNS Daten selber sind oft identisch.
PC >> PI-Hole >> Externer DNS >> PI-Hole >> PC
Gruss PPR
Was haltet ihr von unzensierten und freien DNS?
Wir nutzen Provider DNS und Google als Backup, also keine Freien DNS Server.Was bedeutet schon frei? Der grösste unterscheid ist die Datensammlung der Anbieter. Die DNS Daten selber sind oft identisch.
Hier habe ich schon mal die erste Frage: "Merkt" sich der PC die IP Adresse, wenn ich eine Internetseite verlasse und nochmals aufrufe, oder muss wirklich jedes mal der DNS "befragt" werden?
Der sog. TTL einer Domain bestimmt wie lange sich der PC die IP merkt. Der TTL kann 1 Minute oder 24h betragen. Meistens beträgt dieser ca. 1 - 3 Stunden (zumindest bei uns).Die Anfrage (www.administrator.de) geht zur Fritzbox, diese schickt die Anfrage zum lokalen DNS
Kommt drauf an wie du den DHCP Server einstellst, dort könntest du auch den DNS Server direkt an die Clients verteilen, das resultiert dann in dieser Abfolge:PC >> PI-Hole >> Externer DNS >> PI-Hole >> PC
Erhöhe ich mir hier auch wenn es sich im Millisekunden bereich abspielt, nicht den Traffic im Netzwerk?
Millisekunden hätten höchstens etwas mit der Latenz zu tun, diese wird auch erhöht, aber ist meist zu vernachlässigen. Traffic ist die Menge der Daten. Klar, mehr Traffic generierst du schon aber der ist mengenmässig auch vernachlässigbar und Intern und kostet dich meistens sowieso nichts.Gruss PPR
Zitat von @fognet:
Der grösste unterscheid ist die Datensammlung der Anbieter. Die DNS Daten selber sind oft identisch.
Genau das wäre ein Grund einen freien DNS zu wählen. Dann kommen die großen zwar noch an die Daten nur vielleicht nicht mehr ganz so schnell.Der grösste unterscheid ist die Datensammlung der Anbieter. Die DNS Daten selber sind oft identisch.
Der sog. TTL einer Domain bestimmt wie lange sich der PC die IP merkt. Der TTL kann 1 Minute oder 24h betragen. Meistens beträgt dieser ca. 1 - 3 Stunden (zumindest bei uns).
Das denke ich lässt sich außerhalb einer Domain bei normalen Windows PCs dann über die Registry ändern?Kommt drauf an wie du den DHCP Server einstellst, dort könntest du auch den DNS Server direkt an die Clients verteilen, das resultiert dann in dieser Abfolge:
PC >> PI-Hole >> Externer DNS >> PI-Hole >> PC
Da ich nur WLAN Geräte mit DHCP versorge und alle anderen Clients intern feste IPs bekommen, denke ich läuft es nach dem Prinzip wie ich vermute?PC >> PI-Hole >> Externer DNS >> PI-Hole >> PC
Wenn mehrere IP Adressen im Netzwerk sind, dann müsste vermutlich in der Firewall ein Route gesetzt werden, damit alle IP Bereiche den selben Pi-Hole verwenden können? Das wäre denke ich auch nicht wirklich praktisch... oder man macht jeweils einen Pi-Hole pro Netzsegment?
Allerdings bin ich noch nicht wirklich Fit in Sachen Netzwerk und habe da etwas Problem das ganze zu verstehen.
Hier werden sie geholfen:Netzwerk Management Server mit Raspberry Pi
Zum Thema eigenen DNS und Datenschutz mit dem RasPi ist das hier lesenswert:
https://www.heise.de/ct/ausgabe/2017-20-Domain-Name-Service-Datenschutz- ...
https://www.heise.de/ct/ausgabe/2017-12-Namensaufloesung-inklusive-Daten ...
https://www.heise.de/ct/ausgabe/2017-21-Privater-Nameserver-und-Adblocke ...
https://www.heise.de/ct/ausgabe/2018-4-Update-zu-Unbound-als-privater-Na ...
Hi
Warum fixe IPs für Clients? Was erhoffst du dir davon?
Ja du müsstest die Firewall entsprechend Konfigurieren. Geht aber bei der Fritzbox nicht wirklich..
Gruss PPR
Da ich nur WLAN Geräte mit DHCP versorge und alle anderen Clients intern feste IPs bekommen, denke ich läuft es nach dem Prinzip wie ich vermute?
Ja wenn die PCs den Standardgateway als DNS verwenden.Warum fixe IPs für Clients? Was erhoffst du dir davon?
Wenn mehrere IP Adressen im Netzwerk sind, dann müsste vermutlich in der Firewall ein Route gesetzt werden, damit alle IP Bereiche den selben Pi-Hole verwenden können? Das wäre denke ich auch nicht wirklich praktisch... oder man macht jeweils einen Pi-Hole pro Netzsegment?
Ein PI-Hole pro Segment macht ja nicht wirklich sinn, es sei den du hast Hardware rumliegen und Stromverbrauch ist egal;)Ja du müsstest die Firewall entsprechend Konfigurieren. Geht aber bei der Fritzbox nicht wirklich..
Gruss PPR
Oder halt einen Besseren Router holen zb Mikrotik dann kannst du zb den DNS Server Festlegen die die Clients nutzten müssen und andere werden einfach auf dein Angegeben umgeroutet.
VodafoneZensiert da ja zb per DNS Anfrage.
Aber bei der Fritzbox kannst du eh sagen welchen DNS die nutzten soll und die vom CCC nutzt die eh wenn du keinen einträgst.
VodafoneZensiert da ja zb per DNS Anfrage.
Aber bei der Fritzbox kannst du eh sagen welchen DNS die nutzten soll und die vom CCC nutzt die eh wenn du keinen einträgst.
Zitat von @wusa88:
Zitat von @fognet:
Der grösste unterscheid ist die Datensammlung der Anbieter. Die DNS Daten selber sind oft identisch.
Genau das wäre ein Grund einen freien DNS zu wählen. Dann kommen die großen zwar noch an die Daten nur vielleicht nicht mehr ganz so schnell.Der grösste unterscheid ist die Datensammlung der Anbieter. Die DNS Daten selber sind oft identisch.
Ich glaube nicht das dafür wirklich der DNS benutzt wird - weil die Daten uninteressant werden. Klar kann ich sehen das von IP xyz dann Administrator.de aufgerufen wird - während die andere IP meineSuperBombenbauplaeneUndAnschlagsIdeen.info aufruft (ich hoffe diese URL gibt es jetzt nicht wirklich ;) ). Das wäre ggf. für ne Strafverfolgung relevant - aber für Unternehmen eher egal... Unternehmen (bzw. Staaten) würden den DNS eher missbrauchen um Daten umzulenken / zensieren.
Jetzt nimmst du irgendeinen DNS (ggf. programmierst du sogar deinen eigenen um sicher zu sein). Dann gehst du auf Administrator.de - dort hast du schon mal ein paar Werbebanner. Für ein Unternehmen ist es doch jetzt viel einfacher an diese Daten zu kommen. Ich muss doch nur dafür sorgen das der Banner eine eindeutige ID bei jedem Aufruf bekommt und schon kann ich sogar rausfinden ob du länger auf ner Seite bist, ob du die Seite ggf. div. male neulädst bzw. darauf suchst oder ob das nur nen einmaliger Besuch war... Beim DNS erfahre ich das nicht - weil der Name ja im Cache steht - hier kein Ding... Wenn ich dazu noch irgendwie an ne Session-Variable komme kann ich sogar genau sagen das eine Person (die sich mit Benutzernamen/PW angemeldet hat) auf der Seite war und diese einmalig oder regelmässig Besucht. Gehst du dann auf die nächste Seite und hast auch nen Werbebanner von mir drauf - umso besser, so kann ich recht einfach nen Profil erstellen...
Von daher - wenn du wirklich was gegen das sammeln von Daten machen willst ist dein freier DNS relativ zwecklos. Dieser hilft dir (und anderen - je nach Netzwerk) "nur" um z.B. an freie Informationen zu kommen wenn der Staat/der Provider diese blockiert (natürlich nur versehentlich!).
1Warum fixe IPs für Clients? Was erhoffst du dir davon?
Ich habe mir es angewöhnt, Clients die per Kabel im Netzwerk hängen, immer eine feste IP zu geben. Erhoffen tue ich mir dabei nichts. Allerdings finde ich es im Netzwerk leichter, wenn ich weiß welches Gerät welche IP hat.So weiß ich sofort, wenn ich auf ein Geräte zugreifen will, welche IP es hat und muss die IP die vom DHCP vergeben wurde nicht immer suchen.
Ich tue mich persönlich mit festen IPs im Netzwerk bei mir leichter. z.b. bei Freigaben oder sonstiges.
Ein PI-Hole pro Segment macht ja nicht wirklich sinn, es sei den du hast Hardware rumliegen und Stromverbrauch ist egal;)
Ja du müsstest die Firewall entsprechend Konfigurieren. Geht aber bei der Fritzbox nicht wirklich..
Ich habe einen Mikrotik Zuhause. Dieser hängt direkt hinter der Fritzbox. Die Fritzbox ist bei mir nur noch für den "Internetzugang", Telefonie und DNS vorhanden.Ja du müsstest die Firewall entsprechend Konfigurieren. Geht aber bei der Fritzbox nicht wirklich..
Allerdings weiß ich nicht genau, ob das mit Routen im Mikrotik funktioniert?
Ich habe ein IP Segment (192.168.3.x) aus meinem "internen" Netz ausgesperrt. So kommt die IP 192.168.3.x nur ins Internet aber nicht in mein internes Netz.
Der Pi den ich bereits verwende und der evtl. Pi-Hole machen sollte, ist im Bereich 192.168.8.x.
Ich habe quasi 192.168.3.x in das Netz 192.168.8.x geblockt. Mache ich jetzt die Firewall für diese IPs wieder auf, kann ich zwar Pi-Hole nutzen, aber ich habe keine Trennung mehr.
Kann ich allein die DNS anfragen Durchrouten oder muss ich den Pi-Hole in ein eigenen Netz nehmen?
Nein, der braucht kein eigenes Netz. Es reicht wenn der bei dir im Netz hängt. Es geht ja einzig nur darum das ER alle DNS Anfragen bekommt.
Siehe auch die DNS Artikel von der ct' oben ! Lesen hilft !
Siehe auch die DNS Artikel von der ct' oben ! Lesen hilft !
Kann ich dann allein die DNS Anfragen durchrouten und sonst komplett gesperrt lassen?
Ich will nicht dass 192.168.3.x auf mein Netzwerk zugreifen kann.
Jetzt hast du mir den Beitrag zu schnell editiert ;)
Ich werde die Link demnächst alles durchsehen
Ich will nicht dass 192.168.3.x auf mein Netzwerk zugreifen kann.
Jetzt hast du mir den Beitrag zu schnell editiert ;)
Ich werde die Link demnächst alles durchsehen
Ich will nicht dass 192.168.3.x auf mein Netzwerk zugreifen kann.
Betreibst du denn 2 oder mehr lokale IP Segmente ??Wenn ja wäre es besser du legst den DNS Server dann in ein separates IP Segment oder ganz einfach in das Koppelnetz was den Router der lokalen LAN Netze mit dem Internet Router verbindet.
So muss dann keiner mehr ins andere Netz per DNS wenn der Server in einem dieser lokalen Netze liegt.
Ich betreibe 3 Netze.
Internes LAN und Internes Wlan. 1. Segment
Virtuelle Gast Wlan. 2. Segment
Getrenntes LAN. 3. Segment
Internes LAN und Internes Wlan. 1. Segment
Virtuelle Gast Wlan. 2. Segment
Getrenntes LAN. 3. Segment
Wie routetst du diese 3 Netze ?? Layer 3 Switch/VLANs oder separater Router/Router Kakade ?
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich weiß leider nicht genau wie man es nennt. Ich glaube aber das es eine Router Kaskade ist.
Habe in der Fritzbox statische Routen eingetragen zum Mikrotik.
Mikrotik ist ein RB941-2nD - hAP Lite
Im Mikrotik selbst habe ich 2 Ports (1. Port 192.168.8.x , 2. Port 192.168.3.x) verwendet und diese trenne ich voneinander ab.
LAN und WLAN habe ich ein Bridge erzeugt damit ich im internen WLAN bin.
Das externe WLAN habe ich mit einem virtuellen Interface gemacht und das per Firewall getrennt.
Habe in der Fritzbox statische Routen eingetragen zum Mikrotik.
Mikrotik ist ein RB941-2nD - hAP Lite
Im Mikrotik selbst habe ich 2 Ports (1. Port 192.168.8.x , 2. Port 192.168.3.x) verwendet und diese trenne ich voneinander ab.
LAN und WLAN habe ich ein Bridge erzeugt damit ich im internen WLAN bin.
Das externe WLAN habe ich mit einem virtuellen Interface gemacht und das per Firewall getrennt.
OK, wenn es einen Kaskade ist dann ist es dieses Design:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Richtig ?
Damit hast du ja dann ein Punkt zu Punkt Koppelnetz mit deinem VOR dem Mikrotik liegenden Internet Router ?!
Den PiHole plazierst du dann in dieses Koppelnetz. Damit ist er aus allen lokalen Netzen raus, kann aber von jedem als DNS Server benutzt werden OHNE das der DNS Request in lokale Netze geroutet werden muss.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Richtig ?
Damit hast du ja dann ein Punkt zu Punkt Koppelnetz mit deinem VOR dem Mikrotik liegenden Internet Router ?!
Den PiHole plazierst du dann in dieses Koppelnetz. Damit ist er aus allen lokalen Netzen raus, kann aber von jedem als DNS Server benutzt werden OHNE das der DNS Request in lokale Netze geroutet werden muss.
Damit hast du ja dann ein Punkt zu Punkt Koppelnetz mit deinem VOR dem Mikrotik liegenden Internet Router ?!
Ja richtigDen PiHole plazierst du dann in dieses Koppelnetz. Damit ist er aus allen lokalen Netzen raus, kann aber von jedem als DNS Server benutzt werden OHNE das der DNS Request in lokale Netze geroutet werden muss.
Da wäre prinzipiell eine super Lösung. Allerdings übernimmt der Pi momentan schon Aufgaben bei mir im internen Netz und möchte ihn daher nicht in ein eigenen Netz auslagern.
Dann 2tes Netzwerk Interface via USB Adapter auf dem Pi:
https://www.reichelt.de/Netzwerkkarten/EDI-EU-4208/3/index.html?ACTION=3 ...
und einen Port in dein internes Netz. IPv4 Forwarding dann zwingend abgeschaltet lassen im RasPi und ggf. internen Port dann mit iptables wasserdicht absichern !
Oder...2ten Pi verwenden. Wenn du den einen nur als PiHole laufen lassen willst tuts auch ein Pi Zero oder ein RasPi 2
https://www.reichelt.de/Netzwerkkarten/EDI-EU-4208/3/index.html?ACTION=3 ...
und einen Port in dein internes Netz. IPv4 Forwarding dann zwingend abgeschaltet lassen im RasPi und ggf. internen Port dann mit iptables wasserdicht absichern !
Oder...2ten Pi verwenden.
Wenn du den einen nur als PiHole laufen lassen willst tuts auch ein Pi Zero oder ein RasPi 2
Ein reiner DNS Request auf den Pi-Hole ist über die Firewall nicht möglich?
Doch natürlich !
Einfach TCP und UDP 53 freigeben und gut iss.
Einfach TCP und UDP 53 freigeben und gut iss.
Ich habe das Thema leider etwas aus dem Auge verloren. Aber ich will es heute nochmal angreifen.
Ich muss das ganze mit dstnat im MT abbilden oder?
Ich muss das ganze mit dstnat im MT abbilden oder?
Guckst du auch hier:
https://www.heise.de/ct/ausgabe/2018-11-Schadcode-und-Werbung-mit-Raspbe ...
Du solltest das aber so machen wie oben dann mit einem separaten Pi Hole im Zugangsnetz zum Internet Router.
Das wäre die sauberste Lösung.
Ein Pi Zero reicht dafür:
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-v1 ...
OTG Adapter für den USB LAN Port:
https://buyzero.de/collections/raspberry-pi-zubehor/products/micro-usb-z ...
USB Ethernet Adapter:
https://buyzero.de/collections/raspberry-pi-zubehor/products/usb-etherne ...
Gehäuse:
https://buyzero.de/collections/raspberry-pi-zubehor/products/raspberry-p ...
Damit hast du dann eine dedizierte und saubere Lösung für ganz kleines Geld und musst nicht mehr frickeln.
https://www.heise.de/ct/ausgabe/2018-11-Schadcode-und-Werbung-mit-Raspbe ...
Du solltest das aber so machen wie oben dann mit einem separaten Pi Hole im Zugangsnetz zum Internet Router.
Das wäre die sauberste Lösung.
Ein Pi Zero reicht dafür:
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-v1 ...
OTG Adapter für den USB LAN Port:
https://buyzero.de/collections/raspberry-pi-zubehor/products/micro-usb-z ...
USB Ethernet Adapter:
https://buyzero.de/collections/raspberry-pi-zubehor/products/usb-etherne ...
Gehäuse:
https://buyzero.de/collections/raspberry-pi-zubehor/products/raspberry-p ...
Damit hast du dann eine dedizierte und saubere Lösung für ganz kleines Geld und musst nicht mehr frickeln.
Da ich momentan noch einen anderen Thread offen habe,
Fritzbox, Mikrotik hAP Lite, Factorio, Ubuntu VM, Feste-ip.net
in dem es grundsätzlich um etwas anderes geht bin ich am überlegen, ein Notebook mit ESXi ins Koppelnetz zu setzen.
Darauf könnte ich eigentlich eine VM mit Pi-Hole erstellen.
Dann an den Port 2 der FB anschließen, einen eigenen DNS eintragen und die IP im DNS Rebind Schutz eintragen und es sollte erledigt sein?
Oder muss die DNS Anfragen trotzdem der MT weitergeben?
Fritzbox, Mikrotik hAP Lite, Factorio, Ubuntu VM, Feste-ip.net
in dem es grundsätzlich um etwas anderes geht bin ich am überlegen, ein Notebook mit ESXi ins Koppelnetz zu setzen.
Darauf könnte ich eigentlich eine VM mit Pi-Hole erstellen.
Dann an den Port 2 der FB anschließen, einen eigenen DNS eintragen und die IP im DNS Rebind Schutz eintragen und es sollte erledigt sein?
Oder muss die DNS Anfragen trotzdem der MT weitergeben?
Overkill....die 10 Euro für einen Pi Zero und die 6 Euro Stromkosten im Jahr wäre da erheblich effizienter. Aber musst du wissen...
Der MT ist kein DNS Cache Server, kennt also nix von DNS. In sofern stellt sich die Frage gar nicht !
ALLE Endgeräte inkl. FritzBüx in allen Netzen bekommen die IP Adresse des PiHole im Koppelnetz als DNS Server eingetragen ! Logisch, denn DAS ist ja dein zentraler DNS Server im Netz dann.
...und es sollte erledigt sein?
Yepp, Bingo !Oder muss die DNS Anfragen trotzdem der MT weitergeben?
Die Frage solltest du dir doch nun als MT Profi mittlerweile selbst beantworten können, oder ?! Der MT ist kein DNS Cache Server, kennt also nix von DNS. In sofern stellt sich die Frage gar nicht !
ALLE Endgeräte inkl. FritzBüx in allen Netzen bekommen die IP Adresse des PiHole im Koppelnetz als DNS Server eingetragen ! Logisch, denn DAS ist ja dein zentraler DNS Server im Netz dann.
Overkill....die 10 Euro für einen Pi Zero und die 6 Euro Stromkosten im Jahr wäre da erheblich effizienter. Aber musst du wissen...
Das es Overkill ist, das ist mir auch klar. Allerdings setze ich momentan sowieso einen ESXi auf einem Notebook auf, da kann ich durchaus eine VM mit laufen lassen. Das hält sich dann doch wieder in Grenzen.Oder muss die DNS Anfragen trotzdem der MT weitergeben?
Die Frage solltest du dir doch nun als MT Profi mittlerweile selbst beantworten können, oder ?! Wenn ich dich nicht gehabt hätte, dann würde es vermutlich noch nicht laufen!
Der MT ist kein DNS Cache Server, kennt also nix von DNS. In sofern stellt sich die Frage gar nicht !
Die Frage hat sich mir schon gestellt, da ich dachte, dass ich ein Forwarding des Ports 53 machen muss.ALLE Endgeräte inkl. FritzBüx in allen Netzen bekommen die IP Adresse des PiHole im Koppelnetz als DNS Server eingetragen ! Logisch, denn DAS ist ja dein zentraler DNS Server im Netz dann.
Mach Sinn!dass ich ein Forwarding des Ports 53 machen muss.
Wenn du kein NAT machst musst du ja aich nix forwarden. DNS ist ja ein routebares Protokoll da es TCP oder UDP nutzt Alles gut also...
Ich werde die Möglichkeit mit dem Pi Zero auf jeden Fall mal ins Auge fassen.
Mich würde die Möglichkeit des forwarden trotzdem (aus 2 Sichtweisen) interessieren.
1. Ich kann Pi Hole mal in meinem Netzwerk testen und mir vorerst das ganze mal ansehen. (bevor ich das mit dem Pi Zero in Angriff nehme)
2. Lerne ich zudem wieder ein Stück mehr vom MT.
Wie müsste ich das ganze im MT nun angehen.
Ich sehe viele Tutorials mit dst-nat. Allerdings kann ich mir diese vorgehen nicht vorstellen, da der MT bei mir ja kein NAT macht. Funktioniert das dann trotzdem?
Was ich vor kurzem mal getestet habe, war eine Firewall Regel mit TCP und UDP Forward auf die IP Adresse des Pi Hole im Netzwerk mit dem Port 53. Das hat allerdings nicht wirklich funktioniert.
Gerne kann ich das nochmals machen und die Screenshot posten.
Mich würde die Möglichkeit des forwarden trotzdem (aus 2 Sichtweisen) interessieren.
1. Ich kann Pi Hole mal in meinem Netzwerk testen und mir vorerst das ganze mal ansehen. (bevor ich das mit dem Pi Zero in Angriff nehme)
2. Lerne ich zudem wieder ein Stück mehr vom MT.
Wie müsste ich das ganze im MT nun angehen.
Ich sehe viele Tutorials mit dst-nat. Allerdings kann ich mir diese vorgehen nicht vorstellen, da der MT bei mir ja kein NAT macht. Funktioniert das dann trotzdem?
Was ich vor kurzem mal getestet habe, war eine Firewall Regel mit TCP und UDP Forward auf die IP Adresse des Pi Hole im Netzwerk mit dem Port 53. Das hat allerdings nicht wirklich funktioniert.
Gerne kann ich das nochmals machen und die Screenshot posten.
die Möglichkeit des forwarden trotzdem (aus 2 Sichtweisen) interessieren.
Was du hier "Forwarden" nennst was soll das sein ??Du machst doch gar kein NAT auf dem MT also brauchst du auch kein Forwarding !
Du kannst den PiHole als DNS in jedes beliebige IP Netz klemmen bei dir.
Ich habe mich an diesen 2 Fragen / Antworten etwas festgehalten.
Ich vermute, dass ich es einfach nur falsch verstanden habe.
Was meintest du mit
freigeben
?Hier meinst du vermutlich nur die Firewall über die Netze hinweg mit dem Port 53 zu akzeptieren?
Du hast doch aktuell gar keine Firewall im Betrieb, oder ?? Und auch kein NAT !
Dein MT routet doch nur zwischen den VLANs bzw. IP Subnetzen bzw. zentral dann via FritzBox ins Internet.
In diesem Setup ist es doch dann völlig egal wo du den Pi-Hole plazierst. Er kann ja in jedem Netz problemlos erreicht werden durch das Routing.
Ausnahme ist nur wenn du ein Netz mit einer IP Accessliste abgesichert hast und in diesem den Pi-Hole plazierst.
Dann musst du natürlich in der ACL eine Freigabe auf die IP Adresse des Pi-Hole einrichten, damit andere Endgeräte diesen als DNS Server erreichen können.
Mit Forwarding oder sowas muss man da nix fummeln.
Alles also ganz einfach. Immer nur mal nachdenken WIE die IP Kommunikation im Netzwerk abläuft, dann wird doch alles sofort klar !
Wenn nicht hilft immer der Wireshark
Dein MT routet doch nur zwischen den VLANs bzw. IP Subnetzen bzw. zentral dann via FritzBox ins Internet.
In diesem Setup ist es doch dann völlig egal wo du den Pi-Hole plazierst. Er kann ja in jedem Netz problemlos erreicht werden durch das Routing.
Ausnahme ist nur wenn du ein Netz mit einer IP Accessliste abgesichert hast und in diesem den Pi-Hole plazierst.
Dann musst du natürlich in der ACL eine Freigabe auf die IP Adresse des Pi-Hole einrichten, damit andere Endgeräte diesen als DNS Server erreichen können.
Mit Forwarding oder sowas muss man da nix fummeln.
Alles also ganz einfach. Immer nur mal nachdenken WIE die IP Kommunikation im Netzwerk abläuft, dann wird doch alles sofort klar !
Wenn nicht hilft immer der Wireshark
Ok ich habe es glaube ich nun verstanden.
Firewall habe ich nur bedingt im Einsatz. Ich grenze die VLANs per Firewall Regel von einander ab. Sodass, das Gast VLAN und das Interne VLAN keine Verbindung zueinander haben.
Beide gehen aber Richtung Fritzbox ins Internet. Somit erreichen beide VLANs das Internet über die Fritzbox aber sich nicht untereinander.
Ansonsten ist die Firewall nicht im Einsatz.
Ich habe mich leider total in diese Aussage verrannt:
Firewall habe ich nur bedingt im Einsatz. Ich grenze die VLANs per Firewall Regel von einander ab. Sodass, das Gast VLAN und das Interne VLAN keine Verbindung zueinander haben.
Beide gehen aber Richtung Fritzbox ins Internet. Somit erreichen beide VLANs das Internet über die Fritzbox aber sich nicht untereinander.
Ansonsten ist die Firewall nicht im Einsatz.
Ich habe mich leider total in diese Aussage verrannt:
OK, also wie richtig vermutet nur IP ACLs was ja eben KEIN NAT ist !
Dann musst du in den regeln eben nur den Zugriff auf die IP Adresse des Pi Hole erlauben. Denk dran das das VOR den DENY Regeln passieren muss ! Du kannst nicht später was erlauben was du vorher verboten hast im Regelwerk.
So sähe das dann aus z.B. für ein Netzwerk 172.16.1.0 /24 und 172.16.2.0 /24 und der Pi-Hole steht in .2.0 mit der IP .2.222 Regel im .1.0er Netz:
PERMIT IP Source 172.16.1.0 /24 Destination: 172.16.2.222 --> Erlaubt Zugriff auf RasPi
DENY IP Source 172.16.1.0 /24 Destination: 172.16.2.0 /24 --> Verbietet Zugriff auf .2.0 Netz
PERMIT IP Source 172.16.1.0 /24 Destination: Any --> Erlaubt Internet
Dann musst du in den regeln eben nur den Zugriff auf die IP Adresse des Pi Hole erlauben. Denk dran das das VOR den DENY Regeln passieren muss ! Du kannst nicht später was erlauben was du vorher verboten hast im Regelwerk.
So sähe das dann aus z.B. für ein Netzwerk 172.16.1.0 /24 und 172.16.2.0 /24 und der Pi-Hole steht in .2.0 mit der IP .2.222 Regel im .1.0er Netz:
PERMIT IP Source 172.16.1.0 /24 Destination: 172.16.2.222 --> Erlaubt Zugriff auf RasPi
DENY IP Source 172.16.1.0 /24 Destination: 172.16.2.0 /24 --> Verbietet Zugriff auf .2.0 Netz
PERMIT IP Source 172.16.1.0 /24 Destination: Any --> Erlaubt Internet
1
Heißt wenn ich mit mit ACLs arbeite, dann kommen die Einstellungen von dir zum Einsatz.
Arbeite ich nicht damit, dann reicht es die IP vom PI Hole als DNS einzutragen?
Arbeite ich nicht damit, dann reicht es die IP vom PI Hole als DNS einzutragen?
Bingo !
Genau so ist es
Die Einstellungen natürlich mit deinen IP Adressen und Netzen
Genau so ist es
Die Einstellungen natürlich mit deinen IP Adressen und Netzen
1
Wunderbar
Was würde ich ohne deine Hilfe tun
Danke !
Was würde ich ohne deine Hilfe tun
Danke !
